此小节介绍云堡垒机功能特性。 云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证 采用多因子认证和远程认证技术，加强用户身份认证管理。 引用多因子认证技术，包括手机短信、手机令牌、USBKey、动态令牌等方式，安全认证登录用户身份，降低用户帐号密码风险。 对接第三方认证服务或平台，包括AD域、RADIUS、LDAP、Azure AD远程认证，支持远程认证用户身份，防止身份泄露。并支持一键同步AD域服务器用户，复用原有用户部署结构。 账户管理 集中管理系统用户和资源帐号信息，对帐号全生命周期建立可视、可控、可管运维体系。 用户帐号管理 系统用户帐号全生命周期管理，用户使用唯一帐号登录系统，解决共享帐号、临时帐号、滥用权限等问题。 批量导入 通过同步第三方服务器用户，以及批量导入用户，支持一键同步并导入已有用户信息，无需重复创建用户。 用户组 用户帐号按属性分组管理，可实现对同类型用户按用户组赋予权限。 批量管理 支持批量管理用户帐号，包括删除、启用、禁用、重置密码、修改用户基本配置等。 权限控制 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。 系统访问权限 从单个用户帐号属性出发，控制用户登录和访问系统权限。 用户角色 通过为每个用户帐号分配不同的角色，赋予用户访问系统不同模块的权限，对系统用户身份进行分权。系统支持自定义角色，自定义角色中可以自选添加系统模块，实现角色多样化模式。 组织部门 通过为每个用户划分部门，采用部门组织树形结构，不限制部门层级，可将用户按部门分层级管理。 登录限制 通过设置用户登录配置，从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度，赋予用户登录系统的权限。 资源访问权限 按照用户、用户组与资源账户、账户组之间的关联关系，建立用户对资源的控制权限。 访问控制 通过设置访问控制权限，从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度，赋予用户访问资源的权限。通过设置双人或多人授权审核，需要授权人实时授权才能访问资源，保障敏感核心资源绝对安全。 命令拦截 通过设置命令控制策略或数据库控制策略，对服务器或数据库中敏感、高危操作，强制阻断、告警及二次复核，加强对关键操作的管控。

功能特性 说明 SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云服务器一起使用，通过弹性云服务器内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。

本文为您介绍重点操作验证的定义和重点操作范围。 产品定义 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。 目前二次认证仅支持短信验证码方式认证。若您开启短信验证能力，在控制台进行重点操作时，系统会向您的手机号（绑定天翼云账号的手机号）发送短信验证码，需输入正确的验证码才能执行该重点操作。从而避免您进行误操作，造成云产品数据的丢失；另一方面，确保操作人身份，避免影响业务运行。 重点操作：可能引起服务运行中断、网络中断、数据丢失等情况的操作。 重点操作范围 当您开启操作保护后，进行重点操作时，需要进行身份验证，重点操作范围如下表： （操作范围会不定期更新，敬请关注） 产品名称 功能 上线时间 ::: 弹性云主机 关机 2023年2月10日 弹性云主机 批量关机 2023年2月10日 弹性云主机 重启 2023年2月10日 弹性云主机 批量重启 2023年2月10日 弹性云主机 一键重装 2023年2月10日 弹性云主机 重置密码 2023年2月10日 弹性云主机 批量重置密码 2023年2月10日 弹性云主机 变配 2023年2月10日 弹性云主机 删除（按需） 2023年2月10日 弹性云主机 退订（包周期） 2023年2月10日 弹性云主机 批量删除/退订 2023年2月10日 弹性云主机 弹性IP解绑 2023年2月10日 云硬盘 卸载 2023年2月10日 云硬盘 删除（按需） 2023年2月10日 云硬盘 退订（包周期） 2023年2月10日 虚拟私有云 VPC安全组删除 2023年2月10日 弹性IP 弹性IP解绑 2023年2月10日 弹性IP 弹性IP删除 2023年2月10日 弹性IP 弹性IP退订 2023年2月10日 弹性IP 共享带宽删除 2023年2月10日 弹性负载均衡 弹性负载均衡删除 2023年2月10日 弹性负载均衡 弹性负载均衡退订 2023年2月10日 NAT网关 DNAT规则删除 2023年2月10日 NAT网关 SNAT规则删除 2023年2月10日 VPN连接 VPN删除 2023年2月10日

本文介绍了集群安全组规划配置的用户指南。 云容器引擎作为通用的容器平台，需配置适用于 Kubernetes 集群的安全组。创建集群时，支持选择默认新增和使用已有安全组。 选择默认新增会为 Master 节点和 Worker 节点共同创建一个安全组，安全组名称是：securitygroup{vpcID}。用户可以根据安全要求，登录天翼云控制台，点击产品 > 网络 > 虚拟私有云，在控制台左侧点击访问控制 > 安全组，根据名称找到对应安全组规则进行修改。 选择使用已有安全组，请参考集群自动创建的默认安全组规则放通指定端口，以确保集群中的正常网络通信。 安全组规则说明 方向 端口 协议 默认源/目的地址 说明 优先级（取值越小优先级越高） 是否支持修改 入方向规则 全部 TCP + UDP 198.19.128.0/20 VPCE内网地址段 99 不可修改 入方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 入方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 入方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 入方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP 169.254.169.254/32 主机元数据服务地址 99 不可修改 出方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 出方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 出方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 出方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP + UDP 0.0.0.0/0 默认全部放通，不建议修改 100 可修改 出方向规则 全部 TCP + UDP 0:0:0:0:0:0:0:0/0 默认全部放通，不建议修改 100 可修改

本文介绍弹性公网IP(Elastic IP Address,简称EIP)通提升配额、创建配额模板等操作的路径。 背景信息 天翼云配额中心是用于集中管理天翼云服务配额的服务。它目前已经接入多个天翼云服务，其中包括EIP。如果您需要在一个界面统一管理所有云服务的配额，推荐您使用配额中心。 使用限制 默认情况下只有天翼云主账号可以在配额中心执行操作。如果您需要使用子账号执行管理操作，请先为该用户授予管理配额的权限。 查看配额 登录天翼云配额中心，即可查看相关服务的配额情况。 提升配额 您可在服务配额页面右上角，单击“申请扩大配额”。

备案变更流程 备案变更是指通过将在天翼云备案并已被管局审核通过的备案信息进行修改后重新提交给管局进行审核的备案类型操作。例如修改单位名称、证件号码、负责人信息、域名信息、接入信息等等。备案变更适用于已备案全量信息的修改操作，如果修改主体信息请选择 “变更主体”操作；如果修改部分网站信息请选择“变更网站”操作；如果修改部分网站的接入信息，请选择“变更接入”操作。 注意： 1、备案变更不能删除已备案的网站，如需删除网站，请通过注销网站或取消接入来实现； 2、备案变更不能删除备案主体信息，如需删除主体，请通过注销主体来实现； 3、已备案网站（在天翼云已经有网站备案号的）增加IP，可通过备案变更来实现； 4、已经创建备案变更订单，将无法在“创建备案变更订单”中查询到，即同一条备案信息不能重复创建备案变更订单。 备案变更流程简图，如下所示： 备案变更详细流程图，如下所示： 1 创建备案变更订单 发起备案变更，首页要创建相应的备案订单任务（备案变更订单仅能创建一条），如下图所示，点击“备案变更”即可创建备案变更订单。 订单创建后，页面随即跳转至“在途备案订单管理”，备案变更订单在此可查询、管理和撤销，如下图所示。 2 修改主体信息 主体信息编辑时，无法修改主办单位所在“省”，此项为禁止编辑项。如需调整所在省，请通过“变更主体”操作。 所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 3 修改网站信息 变更网站信息时，只能对已经备案成功的网站进行信息修改，不能发起“新增网站”，如果需要增加新的网站，请通过“新增网站”按钮单独发起新增网站备案订单任务。 修改您本次备案的网站信息和接入信息，如上图所示，点击对应网站后方的“编辑”按钮进行修改即可。备案变更不能修改已备案的域名信息，为更好落实《关于调整非经营性互联网信息服务备案编号规则的通知》（工信管函【２０１９】６３３号）文件要求，自2019年4月22日起在审核或操作新增备案、新增网站、域名迁移备案数据时，每个网站仅能填报一个网站域名；在审核或操作备案变更、变更网站时，若网站下为单域名，则不允许变更域名；若网站下为多域名，则只允许在原有域名列表基础上保持不变或减少域名，不允许新增域名，如果需要新加或修改域名，请通过新增网站操作进行增加。如下图所示。 所有必填项信息填写完毕后，点击“保存”或“下一步，上传备案材料”按钮保存所填写的网站信息。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请变更后的主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

本小节介绍终端安全EDR客户端安装方法。 1.通过远程登录进入业务云主机，使用终端安全EDR内网地址，该界面登录如下图，点击客户端下载安装。 2.根据安装提示，完成客户端安装。

本文帮助您了解对象存储接入管理( VPC)功能的操作步骤。 操作场景 通过在接入管理（VPC）功能中添加子网，您可以实现同一资源池中的云主机通过内网访问ZOS。 约束与限制 需进行接入管理的资源池 ：上海7、南京3、南京5、杭州2、合肥2、九江、广州6、武汉4、福州25、厦门3、郴州2、海口2、北京5、雄安2、石家庄20、内蒙6、晋中、辽阳1、西安5、乌鲁木齐4、乌鲁木齐27、中卫5、兰州2、西宁2、拉萨3、昆明2、重庆2、成都4、贵州3、上海33、宁波边缘云。以上资源池内网默认不互通，故需要通过接入管理配置与对象存储内网互通的云主机所在的VPC和子网。 无需进行接入管理的资源池 ：华东1、上海36、南昌5、青岛20、武汉41、长沙42、长沙37、南宁23、北京行业云20、华北2、西南1、上海32。以上资源池云主机默认与对象存储内网互通，无需接入管理即可实现内网访问。 添加子网后，请重启云主机或网卡。 如果没有可用的VPC，需先创建VPC。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择广东广州6。 3. 在控制台首页，选择“存储>对象存储”。 4. 在ZOS控制台右上角点击“接入管理(VPC)”。 5. 点击“添加VPC”，选择需要与对象存储内网互通的云主机所在的VPC和子网，点击“确定”。 6. 添加成功后，控制台可查看已经添加过的VPC和子网。 7. 添加VPC和子网后，重启云主机网卡，便可通过内网地址访问ZOS。

实时云渲染产品下线公告。 尊敬的天翼云用户： 您好！ 因市场需求变化以及研发计划调整，天翼云计划实时云渲染产品自2025年07月13日00:00起将下线处理，您将无法订购、续订、扩容。 变更影响： 1、2025年07月7日00：00起，您将无法订购实时云渲染产品。 2、2025年07月7日00：00起，已有订单的用户您将无法续订、扩容实时云渲染产品，但将持续提供产品服务至您当前订单结束周期。 3、存量客户如仍需使用，可访问实时云渲染管理控制台 感谢您对天翼云的支持与理解!

高级配置（可选） MRS集群高级配置拓扑 参数 参数说明 标签 具体请参考添加集群标签。 主机名前缀 用作集群中ECS机器主机名的前缀。 弹性伸缩 请在“硬件配置”页签指定Task节点的规格，然后参考配置弹性伸缩规则配置。 引导操作 具体请参考添加引导操作。MRS 3.x版本暂时不支持该参数。 委托 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源，请根据实际业务场景需求确认是否需要配置委托。 例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见配置存算分离集群（委托方式）。 MRSECSDEFAULTAGENCY委托拥有对象存储服务的OBSOperateAccess权限和在集群所在区域拥有CESFullAccess（对开启细粒度策略的用户）、CES Administrator和KMS Administrator权限。 指标共享 用于采集大数据组件的监控指标，当用户使用集群过程中出现问题时，供支持人员定位问题。MRS 3.x版本暂时没有该参数。 OBS权限控制 开启细粒度权限控制的用户可以通过该功能实现不同的MRS用户对OBS文件系统下的不同目录有不同的权限。具体请参见配置MRS多用户访问OBS细粒度权限。MRS 3.x版本暂时没有该参数。 数据盘加密 是否对集群挂载的数据盘中的数据进行加密，默认关闭。如需使用该功能，当前用户必须拥有“Security Administrator”和“KMS Administrator”权限。MRS 3.x版本暂时没有该参数。 加密数据盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。通过单击“数据盘加密”开启或关闭数据盘加密功能。 密钥ID 当“数据盘加密”功能开启时，显示该参数。用于显示已选择的密钥名称对应的密钥ID。MRS 3.x版本暂时没有该参数。 密钥名称 当“数据盘加密”功能开启时，需要配置该参数。选择用来加密数据盘的密钥名称，默认选择密钥名称为“evs/default”的默认主密钥，在下拉框中可以选择其他用户主密钥。MRS 3.x版本暂时没有该参数。 使用用户主密钥加密云硬盘，若对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，请谨慎操作。单击“查看密钥列表”，进入密钥管理页面可以创建及管理密钥。 告警 开启告警功能可在集群运行异常或系统故障时，及时通知集群维护人员定位问题。 规则名称 用户自定义发送告警消息的规则名称，只能包含数字、英文字符、中划线和下划线。 主题名称 选择已创建的主题，也可以单击“创建主题”重新创建。新创建的主题请参考配置消息通知章节中的 向主题添加订阅部分，向该主题添加订阅者才能接收发布至主题的消息。 主题是发送消息和订阅通知的信道，为发布者和订阅者提供一个可以相互交流的通道。 日志记录 集群创建失败时，是否收集失败日志。 开启日志记录开关之后将自动收集集群创建失败、扩/缩容失败等场景下的系统日志及相关组件运行日志到OBS文件系统中，该日志用于运维人员快速定位问题。该日志信息将最多保留7天。 Kerberos认证 登录Manager管理页面时是否启用Kerberos认证。 ：“Kerberos认证”关闭时，普通用户可使用MRS集群的所有功能。建议单用户场景下使用。不启用Kerberos认证时的安全配置建议请参见集群（未启用Kerberos认证）安全配置建议。 ：“Kerberos认证”开启时，普通用户无权限使用MRS集群的“文件管理”和“作业管理”功能，并且无法查看Hadoop、Spark的作业记录以及集群资源使用情况。如果需要使用集群更多功能，需要找Manager的管理员分配权限。建议在多用户场景下使用。 用户名 Manager管理员用户，目前默认为admin用户。 密码 配置Manager管理员用户的密码。 需要满足： 密码长度应在8～26个字符之间，必须包含如下4种字符的组合 − 至少一个小写字母 − 至少一个大写字母 − 至少一个数字 − 至少一个特殊字符：! ?,.: {} [ ]@ $% ^ + / 不能和用户名或倒序的用户名相同 安全程度：颜色条红、橙、绿分别表示密码安全强度弱、中、强。 确认密码 再次输入Manager管理员用户的密码。 登录方式 密码 使用密码方式登录ECS节点。 密码设置约束如下： 1. 字符串类型，可输入的字符串长度为8~26。 2. 至少包含四种字符组合，如大写字母，小写字母，数字，特殊字符（! ?,.: {} [ ]@ $% ^ + /）。 3. 不能与用户名或倒序用户名相同。 密钥对 使用密钥方式登录集群ECS节点。从下拉框中选择密钥对，如果已获取私钥文件，请勾选“我确认已获取该密钥对中的私钥文件SSHkeyxxx ，否则无法登录弹性云主机”。如果没有创建密钥对，请单击“查看密钥对”创建或导入密钥，然后再获取私钥文件。 密钥对即SSH密钥，包含SSH公钥和私钥。您可以新建一个SSH密钥，并下载私钥用于远程登录身份认证。为保证安全，私钥只能下载一次，请妥善保管。 您可以通过以下两种方式中的任意一种使用SSH密钥。 1. 创建SSH密钥：创建SSH密钥，同时会创建公钥和私钥，公钥保存在ECS系统中，私钥保存在用户本机。当登录弹性云主机时，使用公钥和私钥进行鉴权。 2. 导入SSH密钥：当用户已有公钥和私钥，可以选择将公钥导入系统。当登录弹性云主机时，使用公钥和私钥进行鉴权。 通信安全授权 MRS集群通过管理控制台为用户发放、管理和使用大数据组件，大数据组件部署在用户的VPC内部，MRS管理控制台需要直接访问部署在用户VPC内的大数据组件时需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。具体请参考授权安全通信。 若不开启通信安全授权，MRS将无法创建集群。

为了极致的使用体验,天翼云提供了多种连接方式以满足虚拟私有云VPC内的云主机与公网、其他VPC、或本地数据中心(IDC)互连的需求。 访问Internet VPC内的云资源连接公网（Internet）,可以通过如下云产品实现。 云产品 应用场景 描述 相关操作 弹性公网IP 单个ECS连接公网 申请一个弹性公网IP（EIP）并将其绑定到ECS上，ECS即可连接公网，实现主动访问公网或面向公网提供服务。 支持动态绑定和解绑ECS。可以使用共享带宽和共享流量包，降低公网成本。 使用EIP连接公网 （地址：文档VPC快速入门《搭建IPv4网络》） NAT网关 多个ECS共享弹性公网IP连接公网 NAT网关提供SNAT和DNAT两种功能：SNAT可实现同一VPC内的多个ECS共享一个或多个EIP主动访问公网， 有效降低管理成本，同时减少了ECS的EIP直接暴露的风险。DNAT功能还可以实现端口级别的转发， 将EIP的端口映射到不同ECS的端口上，使VPC内多个ECS共享同一EIP和带宽面向公网提供服务，但没有均衡流量的功能。 使用SNAT连接公网 （地址：文档NAT网关快速入门《使用SNAT连接公网》）， 使用DNAT面向公网提供服务（地址：文档NAT网关快速入门《面向公网提供服务》） 弹性负载均衡 通过将访问流量均衡分发到多个ECS的方式对外提供服务， 比如电商等高并发访问场景 弹性负载均衡（ELB）可以将访问流量均衡分发（支持4层和7层两种方式）到多个后端ECS上， 通过绑定EIP支撑海量用户从公网访问ECS。通过流量分发扩展应用系统对外的服务能力， 通过消除单点故障提升应用系统的可用性。 弹性负载均衡介绍 （地址：文档弹性负载均衡产品介绍）

本文帮助您快速熟悉添加ACL规则的操作场景和操作流程。 操作场景 当您需要按照自定义的策略来对出入子网的流量进行控制时，您可以自定义添加新的出方向、入方向ACL规则。 入方向：指从外部访问ACL规则下的子网内的云服务器。 出方向：指ACL规则下的子网内的云服务器访问ACL外的实例。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，选择需要添加规则的ACL。 6. 进入“ACL”详情界面，在入方向规则或出方向规则页签，单击“添加入方向/出方向规则”按钮。 7. 单击“增加一条规则”，可以依次增加多条规则。 8. 单击网络ACL规则操作列下的“复制”选项，复制已有的网络ACL规则。 9. 配置参数说明如下： 参数 说明 优先级 网络ACL规则的优先级，优先级的数值越小，表示优先级越高。为默认的规则，优先级最低。默认规则仅多可用区资源池适用。 IP版本 支持IPv4、IPv6两种协议。 策略 选择入方向规则的授权策略：允许：允许访问子网中云服务器。拒绝：拒绝访问子网中云服务器。 协议 选择协议类型，支持以下几种协议：ALL：所有协议。ICMP：网络控制报文协议。TCP：传输控制协议。UDP：用户数据报协议。 地址和掩码 当前方向允许的地址，对于IPv4，默认值为0.0.0.0/0，代表支持所有的IPv4地址；对于IPv6，默认值为::/0，代表支持所有的IPv6地址。 端口范围 源端口范围，取值范围是1～65535的数字。选择TCP或UDP协议时必须填写。 描述 网络ACL规则的描述信息，非必填项。 注意 1. 对于地域资源池来说，创建ACL时需要指定子网与ACL的关联关系。添加规则时，入方向规则不支持自定义目的地址，出方向规则不支持自定义源地址。 2. 对于可用区资源池来说，添加规则时，出/入方向均支持自定义源/目的端口。 3. 支持IPv6能力逐步上线，实际支持资源池以控制台展示为准。

使用条件 对计费方式为包年/包月的容灾管理中心可进行退订操作。 已纳管云主机的容灾管理中心不能退订，请解绑后再进行退订操作。 退订容灾管理中心的退费说明及限制请参考：退费说明。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏 “容灾管理”，进入容灾管理中心页面。 5. 点击容灾管理中心列表操作栏中“退订”按钮，弹出退订容灾管理中心操作弹窗。 6. 点击“确定”按钮，退订容灾管理中心。 销毁容灾管理中心 使用条件 对已到期的计费方式为包年/包月的容灾管理中心可进行删除操作。 “销毁”操作将解绑容灾管理中心内的所有纳管资源、应用管理、演练任务、切换任务等，并清空历史数据。 容灾管理中心过期后15天系统会自动销毁。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏 “容灾管理”，进入容灾管理中心页面。 5. 点击容灾管理中心列表操作栏中“销毁”按钮，弹出销毁操作弹窗。 6. 勾选“我已知晓”复选框，点击“确认”按钮，销毁容灾管理中心。

本章节介绍云服务备份CBR产品的相关协议。 天翼云云服务备份服务协议，详情请参见这里。

查看YAML（CustomedHPA策略） 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中单击“负载伸缩”，选择“CustomHPA策略”页签，单击CustomedHPA策略后的“ 查看YAML”。 步骤 3 在弹出的“查看YAML”窗口中，可以对YAML进行复制和下载，不能对其修改。 步骤 4 在右上角关闭窗口完成操作。 删除HPA或CustomedHPA策略 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中单击“负载伸缩”，单击策略后方栏中的“删除”。 步骤 3 在弹出的窗口中，单击“是”完成删除操作。

批量创建消费组 针对新建消费组数量较多情景，提供批量创建消费组功能。 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“消费组管理”后，点击“导入消费组”。 （5）点击“导入消费组”后，出现如下界面，下载模板完成修改后，即可上传完成导入。 模板如下。

本文带您快速熟悉修改后端云主机端口和权重的操作。 操作场景 负载均衡后端主机组支持对后端主机的端口和权重进行修改，权重越高的后端主机将被分配到越多的访问请求。 修改后端主机端口和权重功能目前仅在集群模式资源池上线。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 使用须知 在将后端云主机添加到弹性负载均衡器后，您可以为每个后端云主机指定不同的端口号。每台后端主机的权重取值范围为[1, 256]。 操作步骤 1. 登录天翼云控制中心。 2. 选择网络>弹性负载均衡>负载均衡器”。 3. 单击已创建的负载均衡器实例名称。 4. 在该负载均衡详情界面，选择“后端主机组”标签。 5. 选定特定的后端主机组，点击左侧箭头展开主机组，显示“云主机”和“跨VPC后端IP”两个选项卡，选择“云主机”选项卡。 6. 从云主机列表中选择要修改的云主机，点击“修改”。 7. 依据后端主机端口和权重配置说明，在弹出的修改后端主机窗口内修改后端主机的端口和权重配置。 8. 点击“确定”，即可完成修改后端主机端口和权重的操作。 后端主机端口和权重配置说明 参数 说明 端口 后端云主机的服务监听端口，取值范围[165535]。 权重 后端虚拟机权重。权重值决定了后端云主机处理的请求的比例。例如，一个权重为2的云主机处理的请求数是权重为1的两倍。默认情况下，权重为1。

本页面介绍云数据库ClickHouse的配置变更。 根据包周期计费和按需计费这两种方式，以下是对配置升级后的计费规则的总结： 包周期计费： 对于包周期计费方式，用户通常选择一定时长的套餐，如包年或包月计费。 配置升级后的计费规则在包周期计费下可能有以下变化： 节点机器费用：如果升级增加了节点数量或改变了计算节点单价，在升配完成后将根据新的节点数量和单价进行计费。 存储空间费用：如果升级增加了存储空间大小，在升配完成后将根据新的存储空间大小进行计费。 订单升配标准费用（新规格当日产品标准天单价原规格当日产品标准天单价）（原规格订单总天数已使用天数）。 按需计费 按需计费方式根据实际使用的资源和时长进行计费，没有固定的套餐时长。 配置升级后的计费规则在按需计费下可能有以下变化： 节点机器费用：升级后的节点数量和计算节点单价将直接应用于新的使用时段，按照实际使用的节点数量和时长计费。 存储空间费用：升级后的存储空间大小将直接应用于新的使用时段，按照实际使用的存储空间和时长计费。

本文主要介绍智能边缘云资源实例退订的方式。 自助退订 如果您的资源实例确认不再需要，请在ECX控制台的对应类型资源板块，进行自助退订、删除或销毁操作。涉及计费的资源也可以在【天翼云官网>我的>费用中心>订单管理>退订管理】操作退订，也可以联系客户经理进行退订。 资源实例一旦被退订，将无法恢复，请提前导出、备份您的资源，避免造成损失。 实例到期 包年包月资源到期后，将被冻结无法使用，并在15天后自动释放，具体时间以您收到的邮件或短信提示为准。为避免影响您的正常使用，请及时在【天翼云官网>我的>费用中心>订单管理>续订管理】，手动续订或开通自动续订。 账户欠费 若您的账户出现欠费，按需计费的资源将被冻结无法使用，并在15天后自动释放，具体时间以您收到的邮件或短信提示为准。为避免影响您的正常使用，请确保账户余额充足。 如遇欠费，请及时充值，欠款缴清后，实例将被自动解冻。充值完成后，请在ECX控制台检查实例的运行和绑定状态，部分产品解冻后可能需要手动开机或重新绑定以恢复运行。 包年包月资源为预付费，不受账户欠费影响。

本文介绍DNAT规则的添加、查看、修改和删除。 添加DNAT规则 私网NAT网关创建后，通过添加DNAT规则，则可以通过映射方式将您VPC内的云主机对外提供服务。 一个云主机的一个端口对应一条DNAT规则，一个端口只能映射到一个中转IP。如果您有多个云主机或一个主机的多个端口需要为互联网提供服务，则需要创建多条DNAT规则。 1. 登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>私网NAT网关”，进入私网NAT网关页面。 2. 点击需要添加规则的私网NAT网关名称，进入私网NAT网关详情页，点击DNAT规则标签页，在标签页中点击添加DNAT规则。 3. 根据弹出界面提示，配置DNAT规则的基本信息，配置参数如表所示 参数 参数说明 中转IP 用于私网用户进行服务访问的目的IP。 类型 选择VPC内主机或网卡：选择现有子网内云主机，选择云主机的网卡，使外部用户能够通过DNAT方式访问云主机中的应用。手动输入自定义地址：填写某个主机地址（部分资源池支持）。 选择服务器（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内部云主机。 网卡（仅在选择VPC内主机或网卡时） 选择DNAT规则对应的内网IP。 内网地址（仅在选择手动输入自定义地址时） 自定义主机地址（部分资源池支持）。 中转端口 外部公网用户访问服务的端口。支持端口范围1~65535。 内网端口 应用在内部提供服务使用的端口，端口范围1~65535。 支持协议 TCP、UDP协议。 描述 DNAT规则信息描述。 4. 设置好对应参数后，点击“确定”，等待DNAT规则变为运行中，即完成DNAT规则的创建。

DDoS基础防护封禁通知 当您的IP遭受的DDoS攻击峰值超过IP的防护阈值时，会对IP所在服务器和网络的稳定性造成影响，根据用户协议，IP会进入封禁状态，封禁时间持续24小时。 该封禁状态有通知，会通过IP所属账户的站内信、短信、邮箱渠道进行通知，告知封禁信息。除了账户所有人，您还可以在天翼云控制台消息中心消息订阅消息管理安全消息处配置多个消息接收人，比如将您业务的多位值班或运维人员配置到联系人中，此时安全消息短信会通知告知多个人。 通知内容仅有攻击峰值，不包含攻击源信息。DDoS基础防护主要防护IP所在网络的整体稳定，非单个IP的攻击分析产品，仅能提供目的IP级别遭受DDoS大流量攻击的攻击峰值信息，无法提供源IP级别的信息。若客户需要源IP级别的分析，可选择任意渠道和厂商的DDoS高防产品防护自身业务IP并免于触发DDoS封禁，不局限于天翼云的DDoS高防产品。天翼云和其他云厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力。

本文为您介绍VPC终端节点产品的基本概念。 终端节点服务（Endpoint Service） 终端节点服务是可以被其他VPC通过创建终端节点建立私网连接的服务。终端节点服务由服务提供方创建和管理。 服务白名单（Service Whitelist） 服务白名单可以控制允许访问服务资源的用户范围。创建终端节点服务后，系统自动将服务所有者的天翼云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务，也可以创建与该终端节点服务连接的终端节点。如果希望其他账号下的VPC访问服务，需要将该天翼云账号ID添加到服务白名单中。 服务后端资源（ Service Resources ） 终端节点服务后端挂载的服务资源，实际部署开放的服务应用系统，可支持负载均衡，VIP，云主机和物理机等多种类型服务资源。 终端节点（Endpoint） 终端节点可以与终端节点服务相关联，以建立VPC通过私网访问外部服务的网络连接。终端节点由服务使用方创建和管理。根据终端节点连接的服务类型，可分为接口型和反向型。 终端节点访问控制（Endpoint Access Control List） 终端节点的访问控制能力，可以通过访问白名单方式，控制可通过终端节点访问服务的源主机信息。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 可用区 是 多可用区资源池可选择伸缩组绑定的伸缩配置，在指定可用区扩缩容。当伸缩配置绑定的伸缩组使用优先级扩容策略时，可用区选择顺序将决定优先级。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格>请选择云主机” 创建配置，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，接下来根据实际业务需求配置云主机类型、vCPU、内存、镜像（支持公共镜像、私有镜像或共享镜像）、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址与互联网互通。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能对外提供访问服务，仅可在虚拟私有云内部进行内网互通。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽值可以由您设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。密钥对指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。 说明： 如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件且可以登录云主机，否则，将影响您正常登录弹性云主机。 密码指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码，并确认密码，确保能够成功登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

本文介绍使用非root用户挂载文件系统的相关操作。 操作场景 Linux操作系统的弹性云主机默认只能通过root帐号进行挂载文件系统，但可通过赋予其他普通用户root权限，使非root的普通用户能够在弹性云主机上使用mount命令挂载文件系统。当您需要使用非root用户挂载文件系统时，可参考本文的操作指导。 注意 执行非root用户挂载的云主机实例需要与海量文件系统归属于同一资源池的同一VPC下。 仅支持Linux操作系统的云主机进行非root用户挂载。 仅支持NFS文件系统进行非root用户挂载。 前提条件 已创建一个文件系统和一台Linux云主机。 操作步骤 1. 登录天翼云，进入管理控制台。单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机。 3. 给非root的普通用户添加root权限，本文以fstest用户为例。 1）以root用户登录该弹性云主机。 2）依次执行以下命令创建fstest用户，并修改密码。 plaintext adduser fstest passwd fstest 3）执行 chmod 777 /etc/sudoers命令修改sudoers文件权限为可编辑权限。 4）在root账号下执行 vi /etc/sudoers命令编辑sudoers文件，在文件中将下列语句添加进去，位置参考下图。其中“fstest”可替换为其它用户名。 plaintext fstest ALL(ALL) ALL 5）编辑完成后，单击“Esc”，并输入 :wq，保存文件并退出，即完成添加普通的非root用户。 6）执行 chmod 440 /etc/sudoers命令恢复sudoers文件权限为只读权限。 4. 执行以下命令安装NFS客户端。 plaintext yum y install nfsutils 5. 以非root用户登录云主机，本文以fstest用户登录云主机。 6. 执行如下命令创建本地挂载路径，例如“/home/fstest/data”。 plaintext mkdir /home/fstest/data 7. 执行如下命令挂载文件系统，参数说明参考挂载NFS文件系统到弹性云主机 (Linux)。 注意 请务必在挂载时使用noresvport参数，防止文件系统卡住。 plaintext sudo mount t nfs o vers3,prototcp,async,nolock,noatime,noresvport,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 本地路径 8. 挂载完成后使用 df –h命令查看挂载情况。

本节介绍了RabbitMQ 接入方式。 安全接入点 RabbitMQ 安全接入点支持 "PLAIN"、"AMQPLAIN" 授权机制。 1、访问控制 RabbitMQ "PLAIN"、"AMQPLAIN"授权机制需要创建用户，从而获得对应虚拟主机的访问权限。 2、接入步骤 （1）新建用户（集群管理>用户>新建用户） （2）运行demo 客户端关键参数设置 "PLAIN"、"AMQPLAIN" 授权机制的客户端关键参数配置 String host "192.168.0.0"; //安全接入点ip Integer port 5672; //安全接入点port String username "xxx"; //集群管理用户列表的用户名 String password "xxx"; String vhost "/"; ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setUsername(username); connectionFactory.setPassword(password); connectionFactory.setVirtualHost(vhost); SSL接入点 RabbitMQ 安全接入点支持 "EXTERNAL" 授权机制 1、访问控制 无 2、接入步骤 （1）下载SSL证书（实例概览>导出服务>下载SSL文件） （2）运行demo 客户端关键参数设置 "EXTERNAL" 授权机制的客户端关键参数配置 java String host "192.168.0.0"; //SSL接入点ip int port 5671; //SSL接入点port //以下2个ssl文件可通过控制台获取安装包, 具体的获取方式可以查看2.2.1接入步骤的第二小节 String ksFile "D:tmpsslclientrabbitmqkey.p12"; String tksFile "D:tmpssltruststore"; String vhost "/"; char[] keyPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore ks KeyStore.getInstance("PKCS12"); ks.load(new FileInputStream(ksFile), keyPassphrase); KeyManagerFactory kmf KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, keyPassphrase); char[] trustPassphrase null; trustPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore tks KeyStore.getInstance("JKS"); tks.load(new FileInputStream(tksFile), trustPassphrase); TrustManagerFactory tmf TrustManagerFactory.getInstance("SunX509"); tmf.init(tks); SSLContext c SSLContext.getInstance("tlsv1.2"); c.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setVirtualHost(vhost); connectionFactory.setSaslConfig(DefaultSaslConfig.EXTERNAL); connectionFactory.useSslProtocol(c);

客户端加密SDK是一个用于数据加密和解密的Java算法库，支持多种加密算法和密钥管理策略。本SDK提供了简单易用的API，帮助开发者快速实现数据的安全加密和解密操作。 前提条件 已购买企业版客户端加密模块license。 已开通KMS包周期服务。 已完成访问凭证AKSK创建。 已完成用户主密钥资源创建。 下载SDK 请点击下载客户端加密模块SDK（企业版）.zip。 安装与配置 1. 依赖库部署。 使用SDK前需将 C 依赖库放入相应的路径下，否则无法调用相关功能。 Linux环境 将文件夹lib中对应版本的xxx.so放置对应目录下： 64 位系统：库文件放入/lib64目录下。 32 位系统：库文件放入/usr/lib目录下。 Windows环境 将文件夹lib中对应的版本的xxx.dll 放置对应目录下： 64 位系统：DLL文件存放在C:WindowsSystem32目录或者jar包同级目录下。 32 位系统：DLL文件存放在C:WindowsSysWOW64目录或者jar包同级目录下。 2. 集成配置。 应用系统新增依赖配置： plaintext 安装加密软模块sdk包 mvn install:installfileDfilelib/TASSLAPIv1.5.220251215.1.jarDgroupIdorg.tasslsdk DartifactIdtasslDversion1.5.2Dpackagingjar 安装kms终端节点sdk mvn install:installfileDfilelib/ctyunkmssdkjava.jarDgroupIdorg.kmssdk DartifactIdctyunkmssdkjavaDversion1.2.1.1Dpackagingjar 添加依赖： plaintext org.tasslsdk tassl 1.5.2 其他依赖jar包信息： annotations13.0.jar hutoolall5.8.5.jar kotlinstdlib1.4.0.jar okhttp4.9.0.jar  okio2.8.0.jar

本文帮助您了解对象存储对象多版本相关的功能。 使用场景 利用多版本管理，您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 注意 ZOS新创建的桶不会自动开启多版本功能，当向同一个桶上传同名的对象时，新上传的对象将覆盖原有的对象。 开启多版本 新上传对象，ZOS自动为每个对象创建唯一的版本号。上传同名的对象将以不同的版本号同时保存在ZOS中。 开启版本管理前，桶中已有对象版本ID为空，再次上传该同名对象，新上传的文件会生成新的版本号。 列出桶内对象列表时会列出最新对象和历史版本对象。 可以指定最新对象或任一历史版本对象进行下载或删除。 版本 描述 最新版本 多版本控制开启后，上传同名对象、恢复、删除都会生成新的版本号，最后一次操作保存的版本号就是最新版本。 历史版本 多版本控制开启后，上传同名对象、恢复、删除都会生成新的版本号，除最新版本外的其他版本号为历史版本。 暂停多版本 当不需要对桶内对象进行版本控制时，可以暂停多版本控制： 多版本管理可以由开启状态变更为暂停状态，但无法返回未启用状态。 暂停后新上传的对象版本号为空。若之前有版本号为空的同名对象，则会覆盖该版本号为空的对象。 暂停后桶内已有的历史版本不会被删除，将继续保留ZOS中并支持下载，若你不再需要这些历史版本，请手动删除。 暂停后对象被删除或覆盖后无法找回。

本文介绍在函数计算中使用自定义运行时函数的运行环境信息。 背景信息 基于自定义运行环境，您可以打造自己的专属运行环境。 定制个性化语言，例如C++,Rust。 定制特定代码语言版本的运行环境，例如Java 21。 容器环境 自定义运行时运行环境如下。 名称 操作系统 架构 自定义运行时 Debian 10 x8664 用户权限：执行用户为root。 目录权限：全路径均可读写。 代码在容器内路径：/code。 环境信息 自定义运行时 内置以下编程语言版本。您可以直接创建以下编程语言版本的自定义运行时函数，无需安装第三方解释器或配置层。 Python 3.6, 3.9, 3.10 Node.js 16, 18, 20 OpenJDK 8, 11, 17, 21 .NetCore 8.0 Go 1.22 PHP 7.2 使用非内置编程语言 说明 推荐通过官方公共层的方式使用非内置编程语言。 当您打算使用某种语言打造自定义运行时，但该语言不是内置语言时，您需要将该语言的解析器或运行时和代码文件一起打包部署到函数计算，实现您的预期目标。例如，当运行时环境不是java环境，您想要用Java 17运行代码时，您需要先下载Java 17所需的解释器到代码中，然后将打包后的代码部署到函数计算。具体操作如下。 1.下载Linuxx64版本的 jdk 17到代码目录 sh wget O jdk17.tar.gz && tar zxvf jdk17.tar.gz 2.设置启动命令 nodejs command: /code/jdk17/bin/java args: 'demo.jar'

本文对数据安全中心（DSC）的使用进行介绍，介绍如何识别、分类分级和保护对象存储OBS中存储的敏感数据。 背景 敏感数据定义：身份证等个人隐私信息、密码、密钥、敏感图片等高价值数据。这些数据通常会以不同的格式存储在您的对象存储OBS桶中，将会给企业带来重大的经济和名誉损失。 数据安全中心在您对数据源进行识别授权后，可以从您存储在对象存储OBS的大量数据中，对敏感数据进行快速发现、定位、分类分级并展示。数据安全中心DSC还会对敏感数据的使用情况进行跟踪，根据预先定义的安全策略对数据进行保护和审计，以确保您随时了解对象存储OBS数据资产的安全状态。 场景 检测敏感数据 用户存储在对象存储OBS中的大量数据和文件，无法准确确定其中是否包含敏感信息，也无法确定其中敏感数据的位置。 用户可以使用数据安全中心DSC内置的算法规则，还可以根据其行业特点自定义规则，扫描其存储在OBS中的数据，并对数据进行分类和分级，之后根据扫描结果采取进一步的安全防护措施，例如可以利用对象存储OBS中的访问控制和加密功能等。 异常事件检测审计 数据安全中心DSC能够监测与敏感数据相关的访问、操作、管理等异常情况，并提供告警提示信息，用户可以确认和处理异常事件。一般而言，以下行为都被认为是异常事件： 非法用户访问或下载敏感数据，该行为未经授权。 合法用户进行访问、下载、修改、权限更改或权限删除敏感数据。 合法用户进行权限更改、权限删除敏感数据的桶。 用户访问敏感数据的登录终端异常等情况。

本文问您介绍如何使用KMS SDK for Java访问KMS服务。 KMSSDK可以帮助用户通过简单的编程访问KMS提供的API接口，实现加密解密、签名验签、密钥管理等业务诉求。本文将介绍如何初始化SDK以及如何调用接口实现以上功能。 前提条件 已购买KMS包周期服务。 已完成应用接入点创建，获取KMS应用接入点地址。 已完成访问凭证AKSK创建。 已完成密钥资源创建。 下载SDK 请点击下载SDK：SDK.zip 环境依赖 只需将提供的SDK导入到开发的Java项目中，并在配置中添加以下依赖即可使用KMSSDK的功能。 plaintext org.kmssdk ctyunkmssdkjava 1.0 调用流程 使用KMS提供的Java SDK调用接口的完整流程如下图所示。 1. 首先初始化DefaultProfile类，传入参数AK、SK和应用接入点地址，然后初始化DefaultKmsClient类，传入上一步的DefaultProfile类。 2. 用户根据需要调用的接口创建相应的Request类，并为其构建传入参数，发送HTTP/HTTPS请求。 3. Request类可以修改请求协议，默认为HTTPS协议。 4. 最后通过创建的Response类和ResponseData类接收响应结果，并使用get方法获取详细数据。 初始化SDK 使用Java SDK调用接口时，首先初始化DefaultProfile类和DefaultKmsClient类。 初始化示例如下： plaintext //首先初始化DefaultProfile类，new DefaultProfile（String ak, String sk, String ipport），传入用户的ak、sk以及接入点地址 DefaultProfile defaultProfile new DefaultProfile("ae2cc5cc5e8211ea978a186590d96509", "bf9ebf2fb797d85818f46d136a8637388c988813", "127.0.0.1:9091"); //初始化DefaultKmsClient类，需要传入上一步的DefaultProfile类 DefaultKmsClient defaultKmsClient new DefaultKmsClient(defaultProfile);

Kafka支持服务端认证客户端吗？ 不支持。 连接开启SASLSSL的Kafka实例时，ssl truststore文件可以用PEM格式的吗？ 使用Java语言连接实例时，只能使用JKS格式的证书，不支持转成PEM格式。 下载的证书JKS和CRT有什么区别？ 使用Java语言连接实例时，需要用JKS格式的证书。使用Python语言连接实例时，需要用CRT格式的证书。 Kafka支持哪个版本的TLS？ Kafka支持TLS 1.2。 Kafka实例连接数有限制吗？ 不同规格的Kafka实例，连接数限制如下： 实例规格为kafka.2u4g.cluster时，单个代理客户端总连接数上限为2000。 实例规格为kafka.4u8g.cluster时，单个代理客户端总连接数上限为4000。 实例规格为kafka.8u16g.cluster时，单个代理客户端总连接数上限为4000。 实例规格为kafka.12u24g.cluster时，单个代理客户端总连接数上限为4000。 实例规格为kafka.16u32g.cluster时，单个代理客户端总连接数上限为4000。 客户端单IP连接的个数为多少？ Kafka实例的每个代理允许客户端单IP连接的个数默认为1000个，如果超过了，会出现连接失败问题。您可以通过修改配置参数来修改单IP的连接数。 Kafka实例的内网连接地址可以修改吗？ 不支持修改，且不支持指定IP地址。 不同实例中，使用的SSL证书是否一样？ Kafka实例中的SSL证书是通用的，不区分用户或者实例，即不同的用户或者实例，使用的SSL证书是同一个。 获取SSL证书的方法如下： 步骤 1 在Kafka控制台，单击实例名称，进入实例详情页。 步骤 2 在“连接信息 > SSL证书”所在行，单击“下载”。

本章节主要介绍天翼云物理机的支持列表及使用限制。 支持列表 实例 支持自动化发放物理机，远程Console登录。 支持租户自主管理物理机生命周期：查询、启动、关机、重启、删除。 导出服务器列表：将租户名下的所有物理机信息，以xlsx文件的形式导出至本地。 支持一键重置密码。 支持故障重建：由于服务器硬件损坏、SDI卡损坏等原因，导致服务器无法正常使用时，可以申请服务器重建。 支持重装操作系统：物理机OS无法正常启动、操作系统中毒等场景，可以重装OS。 支持用户数据注入：通过注入脚本简化服务器配置、初始化系统等。 支持云审计，记录与物理机相关的操作事件，便于日后的查询、审计和回溯。 支持主机监控，可实时获取物理机的CPU、内存、磁盘I/O等监控指标数据。 支持标签管理服务，使用标签来标识物理机，便于分类和搜索。 磁盘 支持挂载/卸载云硬盘（linux和windows均支持）。 支持挂载共享卷。 支持云硬盘动态扩容。 镜像 可以使用公共镜像、私有镜像、共享镜像发放物理机。 支持通过物理机服务器创建私有镜像。 支持通过外部镜像文件创建私有镜像。 私有镜像还支持不同帐号之间共享镜像。 网络 支持虚拟私有云、自定义VLAN网络、高速网络、IB网络，满足多种场景的需求。 创建安全组并定义安全组规则，为物理机提供安全防护。 支持绑定弹性IP，满足客户互联网访问需求。 支持绑定多张网卡，支持动态绑定网卡。